How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

Dekoder JWT – dekoduj tokeny JSON Web Token i sprawdzaj ich wygaśnięcie online

Wklej dowolny token JSON Web Token, aby natychmiast zdekodować jego nagłówek i ładunek, wyświetlić podpis i sprawdzić, czy nie wygasł. Działa lokalnie – Twoje tokeny nigdy nie opuszczają przeglądarki.

Zakodowany JWT

To narzędzie jedynie dekoduje token — nie weryfikuje podpisu względem klucza tajnego ani publicznego. Każdy, kto ma token, może odczytać jego zawartość, więc nigdy nie umieszczaj sekretów w JWT.

Pliki są automatycznie usuwane po przetworzeniuBez znaków wodnychBezpłatne w użyciu — bez rejestracji

Skończyłeś z Dekoderem JWT? Wypróbuj teraz te narzędzia

Starannie dobrane narzędzia, które świetnie współgrają z dekoderem JWT. Pracuj dalej bez utraty pliku.

Zobacz wszystkie narzędzia

Koder / dekoder Base64

Koduj dowolny tekst lub plik do Base64 (z wariantem URL-safe) albo dekoduj Base64 z powrotem na tekst. Bezpieczne dla UTF-8.

Wypróbuj teraz

Generator skrótów

Oblicz skróty szesnastkowe SHA-1, SHA-256, SHA-384 i SHA-512 dowolnego tekstu lub pliku za pomocą Web Crypto API przeglądarki.

Wypróbuj teraz

Upiększanie JSON

Formatuj, waliduj i minifikuj JSON w przeglądarce. Czytelne wcięcia 2 / 4 / 8 spacji lub minifikacja do jednej linii z kopiowaniem i pobieraniem.

Wypróbuj teraz

Koder / dekoder URL

Koduj procentowo (percent-encoding) fragmenty URL lub całe adresy URL i dekoduj je z powrotem. Tryby encodeURIComponent i encodeURI.

Wypróbuj teraz

Generator haseł

Generuj silne, kryptograficznie losowe hasła o długości do 128 znaków z szacowaniem entropii na żywo.

Wypróbuj teraz

Porównywarka różnic

Porównaj dwa fragmenty tekstu wiersz po wierszu. Widok podzielony lub ujednolicony, opcjonalne ignorowanie białych znaków i wielkości liter.

Wypróbuj teraz

Frequently Asked Questions

Wklej zakodowany JWT (długi ciąg eyJ…) do pola wejściowego. Narzędzie dzieli go na dwóch kropkach, dekoduje nagłówek i ładunek z Base64URL i pokazuje JSON dla każdego z nich oraz surowy segment podpisu – wszystko bez wykonywania jakiegokolwiek żądania sieciowego.

usage

Nie. Dekoder jedynie analizuje token — nie weryfikuje podpisu względem klucza tajnego ani publicznego, ponieważ weryfikacja wymaga materiału kluczowego wystawcy. Do weryfikacji produkcyjnej użyj biblioteki JWT po stronie serwera; to narzędzie służy do podglądu i debugowania.

technical

Otrzymujesz nagłówek (algorytm i identyfikator klucza), atrybuty ładunku (sub, iss, aud, iat, exp oraz wszelkie atrybuty niestandardowe) i surowy podpis. Standardowe atrybuty z sygnaturą czasową są formatowane jako daty czytelne dla człowieka, więc na pierwszy rzut oka wychwycisz nieaktualne tokeny.

features

Jeśli ładunek zawiera standardowe pole „exp", narzędzie porównuje je z bieżącym czasem i wyświetla „Ważny do" lub „Token wygasł o" wraz z dokładnym znacznikiem czasu. Tokeny bez pola exp są oznaczane jako nieposiadające daty wygaśnięcia.

features

Każdy, kto odczyta ładunek tokena JWT, może z niego korzystać aż do jego wygaśnięcia, dlatego tokeny produkcyjne należą do narzędzi prywatnych. Ten dekoder działa w całości w Twojej przeglądarce i nigdy nie przesyła tokena, jednak bezpieczniejszą zasadą jest dekodowanie krótkotrwałych tokenów deweloperskich, kiedy tylko to możliwe.

privacy

JWT składa się z trzech segmentów zakodowanych w Base64URL i oddzielonych kropkami: nagłówka (algorytm podpisu), ładunku (oświadczenia, którym wystawca chce, by zaufał weryfikujący) oraz podpisu (kod MAC lub podpis cyfrowy dla header.payload). Dekodowanie nigdy nie wymaga klucza — wymaga go jedynie weryfikacja.

technical

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Debuguj przepływy OAuth i OpenID Connect

Dekoduj tokeny dostępu i tokeny ID zwracane przez Auth0, Okta, Cognito i Azure AD, aby weryfikować zakresy, odbiorców i wystawców podczas lokalnej pracy nad integracją OAuth

For Developers

Sprawdzaj nagłówki autoryzacji w wywołaniach API

Wklej token bearer z nieudanego żądania API, aby potwierdzić, czy winny jest nieprawidłowy tenant, rola lub czas wygaśnięcia, zanim zgłosisz zgłoszenie do zespołu backendu

For Developers

Sprawdzanie wygaśnięcia tokena podczas tworzenia aplikacji

Wykrywaj wygasłe tokeny, które po cichu psują Twoje środowisko testowe, odczytując oświadczenie exp — bez kopiowania tokenu do terminala czy pisania szybkiego skryptu

For Business

Audyt uprawnień zakodowanych w oświadczeniach tokenu

Weryfikuj niestandardowe oświadczenia (claims), takie jak role, dzierżawcy i flagi funkcji, aby administratorzy mogli potwierdzić, że token klienta przyznaje dokładnie taki dostęp, jaki przewidział zespół licencyjny

For Business

Walidacja integracji jednokrotnego logowania (SSO)

Sprawdzaj tokeny SAML i OIDC generowane przez firmowe integracje SSO, aby potwierdzić przynależność do grup i mapowanie atrybutów przed wdrożeniem dla wszystkich pracowników

Education

Naucz uwierzytelniania opartego na tokenach

Wykorzystuj panele zdekodowanego nagłówka, ładunku i podpisu, aby wyjaśnić strukturę tokenów JWT studentom bootcampów, młodszym inżynierom i uczestnikom warsztatów z bezpieczeństwa

Try JWT Decoder now — it's free

Narzędzia do obrazów

Narzędzia PDF

Inne narzędzia

Dekoder JWT – dekoduj tokeny JSON Web Token i sprawdzaj ich wygaśnięcie online

Skończyłeś z Dekoderem JWT? Wypróbuj teraz te narzędzia

Koder / dekoder Base64

Generator skrótów

Upiększanie JSON

Koder / dekoder URL

Generator haseł

Porównywarka różnic

Frequently Asked Questions

How JWT Decoder helps you get it done

Debuguj przepływy OAuth i OpenID Connect

Sprawdzaj nagłówki autoryzacji w wywołaniach API

Sprawdzanie wygaśnięcia tokena podczas tworzenia aplikacji

Audyt uprawnień zakodowanych w oświadczeniach tokenu

Walidacja integracji jednokrotnego logowania (SSO)

Naucz uwierzytelniania opartego na tokenach